浅谈物理路径的泄露

路径泄露是属于低风险等级一类的缺陷,它的危害一般被描述为“攻击者可以利用此漏洞得到的信息对系统进行进一步的攻击”,提供Web、FIP、SMIP 等公共服务的服务器都有可能出现物理路径泄露的问题。我们比较常见的是与Web服务器有关的路径泄露公告。导致Web服务器路径泄露的原因有很多,可能是Web平台本身、脚本语言解释器、引擎插件、组件、辅助程序等一些原因造成的,但最有可能的是脚本编写错误导致的。很多时候,攻击者精心构造一个畸形的、超长的或不存在的文件请求,而这个请求是Web服务器没有预料且不能正确处理的,这时往往会返回出错信息,最直观的就是暴露物理路径。譬如,对于很